密码安全策略配置建议

·Domino邮件系统支持服务密码安全策略配置建议广州市拓维信息有限公司广州市天河区黄埔大道西平云路163号广电科技大厦903#电话：(020)38267170传真：(020)38267171邮编：510656客户热线：(020)38267173长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第2页一、保护INTERNET口令的安全..........................................................................................3二、部署密码安全策略对用户可能造成的扰动.............................................................10三、创建安全性设置文档.................................................................................................11四、管理NOTES和INTERNET口令....................................................................................12五、配置INTERNET口令锁定............................................................................................14六、配置定制口令策略.....................................................................................................15七、配置管理ECL.............................................................................................................18八、管理ADMINECL...........................................................................................................19九、将信任交叉证书应用到客户机.................................................................................20十、启用口令结转.............................................................................................................20十一、启用联机证书状态协议（OCSP）检查.................................................................22十二、配置已签署的插件.................................................................................................22十三、为LOTUSINOTES用户创建安全性策略设置..........................................................23长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第3页安全性策略设置文档允许您管理IBM(R)Lotus(R)Notes(R)和Internet口令、配置为组织定制的口令策略、设置密钥结转、管理管理ECL、将信任交叉证书应用到客户机并配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。一、保护Internet口令的安全Internet口令可能会受到恶意源头的攻击。例如：·一种攻击类型是读取IBM(R)Lotus(R)Domino(TM)目录中的所有散列口令。用户的Internet口令以散列版本存储在Domino目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用xACL来防止此类攻击，从而阻止对散列口令的访问。·另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度的口令，或者通过在服务器上启用Internet口令锁定功能，可以防止此类攻击。使用下面一种或多种功能可保护对Domino目录所存储的Internet口令的访问，或者使得这些口令更加难以猜度。·xACL·更多安全口令格式·Internet口令锁定使用xACL保护Internet口令的安全用来保护Internet口令的一种方式是使用扩展的ACL（即xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。对于存储在Domino目录中的口令，管理员可以设置xACL将Internet口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。首先，为Domino目录启用扩展访问：1.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。2.确保在数据库的ACL中具有“管理者”访问权限。长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第4页3.单击“高级”，然后选择“启用扩展权限”。4.在下列提示中单击“是”以继续。“启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅DominoAdministrator帮助。Doyouwanttocontinue?”时，5.在下列提示中单击“是”。该提示只有在数据库ACL的高级选项“强制所有副本使用一致的访问控制列表”尚未启用时才会出现：“必须首先启用一致性访问控制。是否立即启用？”6.在下列的提示中单击“确定”：“如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。”7.在“访问控制列表”对话框中单击“确定”。8.在下列的提示中单击“确定”：“正在启用扩展访问控制限制。这可能要花费一点时间。”接下来，设置扩展访问权限来保护Internet口令。9.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。10.单击“扩展权限”。此时将出现“扩展访问权限”对话框。11.在“目标”窗格中，选择根目录[/]然后单击“添加”。12.在“访问列表”窗格中，选择“缺省”。13.单击“表单和域权限”。此时出现“表单和域”对话框。14.在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。15.在“域”列表框中：选择HttpPassword，然后将“读写”访问权限设置为“拒绝”。如果出现dspHttpPassword，则选择dspHttpPassword然后将“读写”访问权限设置为“拒绝”。16.单击“确定”。长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第5页17.对于下列访问列表条目的“个人”表单中的HttpPassword和dspHttpPassword（如果出现的话）设置重复此过程：访问列表条目读取访问设置写入访问设置自己允许允许[本地管理员组]允许允许[本地服务器组]允许允许附注如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中HTTPPassword和dspHTTPPassword（如果出现的话）域的读写访问权限。附注为Domino目录启用了xACL之后，LDAP匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省xACL设置为“无访问权限”，所以一旦启用了xACL，所有匿名LDAP搜索则都会失败。使用更为安全的口令格式输入Internet口令并保存“个人”文档后，Domino自动单向加密Internet口令域。要提高缺省口令的质量，请使用更为安全的口令格式。可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。现有的“个人”文档1.从DominoAdministrator中，单击“个人和组”，然后选择要升级到更安全的口令格式的“个人”文档。2.选择“操作”-“升级Internet口令格式”。3.如果Domino域中所有的服务器运行8.0.1或更高版本，请选择“是-与8.0.1或更高版本相兼容的口令验证”。否则请选择“是-与4.6或更高版本相兼容的口令验证”。新的“个人”文档1.从DominoAdministrator中，单击“配置”，然后选择“所有服务器文档”。长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第6页2.选择“操作”-“编辑目录概要文件”。3.如果Domino域中所有的服务器运行8.0.1或更高版本，请选择“是-与8.0.1或更高版本相兼容的口令验证”。否则请选择“是-与4.6或更高版本相兼容的口令验证”。4.保存并关闭文档。附注如果您选择将用户的Internet口令与其Notes口令同步，则需要更安全的口令格式。另一种用来防止恶意源头猜度口令的方式是使得这些口令难以猜度：通过让口令更长并且更复杂、使用多种字符、避免使用实际词语等。使用Internet口令锁定Internet口令锁定使得管理员能够为DominoWeb和DominoWeb访问用户的Internet认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定，可帮助防止针对用户Internet帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在Internet锁定应用程序中维护，管理员可以在该应用程序中分别清除失败和解锁用户帐户。应该注意的一点是，此功能容易受到服务拒绝(DoS)攻击。DoS攻击指的是这样一种攻击：恶意用户明确阻止某个服务的合法用户使用该服务。对于这种Internet口令锁定情况，可能会有故意进行失败登录尝试的攻击者来阻止合法的Internet用户登录Domino服务器。附注Internet口令锁定对Domino脱机服务(DOLS)没有影响。Internet口令锁定有一些使用限制：·只能对于Web访问使用Internet口令锁定。其他Internet协议和服务（如LDAP、POP、IMAP、DIIOP、IBM(R)Lotus(R)QuickPlace(R)和IBM(R)Lotus(R)Sametime(R)）目前不受支持。但是，如果用于认证的口令存储在LDAP服务器上，则可以将Internet口令锁定用于Web访问。·如果正在使用定制的DSAPI过滤器，则可能不能使用Internet锁定功能，因为DSAPI过滤器是一种忽略Notes/Domino认证的方式。长江三峡集团Domino基础环境运维密码安全策略配置建议广州市拓维信息有限公司第7页对于单次登录，其中启用了Internet口令锁定的Domino服务器必须同时是颁发单次登录密钥的服务器。如果此密钥是从另一个源（另一个Domino服务器或WebSphere服务器）检索的，SSO令牌在该Domino服务器上则一直有效，而无论是否启用了Internet口令锁定。Internet锁定数据库Internet锁定数据库(inetlockout.nsf)是根据inetlockout.ntf在以下情况下创建的：·启动时（如果已经启用了Internet锁定功能），或者·需要第一次查看或写入锁定数据库时。这种情况不需要重新启动，但是启用了该功能的时间与打开或写入锁定数据库的时间之间必须经过十分钟。缺省情况下，Internet锁定数据库A